[linux-l] ftp-upload-Firewallregeln
Kai Kruse
falscherfilm at gmx.net
Mo Jul 11 18:26:53 CEST 2005
Hallo Ralf, hallo Jan-Benedict,
der GMX-Spam-Verdacht hat zugeschlagen. Shit happens, das ist sozusagen die
erste Mail aus dieser Liste, die dort gelandet ist.
Verstehen muß man das glaube ich nicht.
On Thursday 11 August 2005 11:57, Ralf Baerwaldt wrote:
> > SSH2 wünsche ich mir für die Zukunft, in meinem LAN funkioniert
> > das, trotzdem
> > könnte ich auch hier einen Tipp für meine Firewall gebrauchen.
>
> Hallo Kai,
>
> also für dein FTP-Problem kann ich dir keinen Tipp geben.
> Ich nehme zumindest an, dass du Port 20+21 in beide Richtungen
> freigegeben hast. Dann sollte es meines Wissens nach auch
Jooo.
leider funktioniert ftp immer noch nicht.
Eine Nachfrage beim Hoster hat ergeben, dass ich den passiven Modus benutzen
müsse, meine Firewall ist echt nicht so kompliziert, dass man eine solche
Einstellmöglichkeit auf Dauer übersehen kann.
Bei ftp-Clients habe ich aktiv/passiv schon gesehen, bei meiner Firewall fehlt
das.
> funktionieren. Oder hast du die Zugriffe IP-maessig eingeschraenkt ?
Nein....
> Dann kann durch dein Gateway mittels Natting oder Masquerating
> die IP falsch sein.
...das verstehe ich noch nicht...
>
> Zu ssh:
> Du musst Port 22 freischalten.
> Ich empfehle in /etc/ssh/sshd_config die Freigabe fuer Passwort-
> Authentication zu verbieten und nur mit dsa-keys zu arbeiten,
arbeite dran....
> die man durch eine Passphrase geschuetzt hat.
> Der Nachteil ist dann allerdings, dass man dann kein
> "ssh -l <other user> server" absetzen kann. Zumindest hat es
> bei mir nicht geklappt.
>
> Gruss Ralf
>
> _______________________________________________
> linux-l mailing list
> linux-l at mlists.in-berlin.de
> Die Mailingliste der BeLUG (Berliner Linux User Group)
>
> Wenn du diese Mailingliste abbestellen willst, gehe bitte auf
> https://mlists.in-berlin.de/mailman/listinfo/linux-l
> und trage dich dort bitte aus
On Monday 11 July 2005 16:51, Jan-Benedict Glaw wrote:
> On Thu, 2005-08-11 11:57:15 +0200, Ralf Baerwaldt <BAERWALD at de.ibm.com>
wrote:
> > > SSH2 wuensche ich mir fuer die Zukunft, in meinem LAN funkioniert
> > > das, trotzdem
> > > koennte ich auch hier einen Tipp fuer meine Firewall gebrauchen.
> >
> > Hallo Kai,
> >
> > also fuer dein FTP-Problem kann ich dir keinen Tipp geben.
> > Ich nehme zumindest an, dass du Port 20+21 in beide Richtungen
> > freigegeben hast. Dann sollte es meines Wissens nach auch
> > funktionieren. Oder hast du die Zugriffe IP-maessig eingeschraenkt ?
>
> FTP ist ein etwas "doof" designtes Protokoll. Es werden Verbindungen in
> *beide* Richtungen aufgemacht; dabei wird innerhalb des Protokolls
> uebermittelt, wohin die 2te Verbindung geoeffnet werden soll. Daher
> reicht bei FTP eine einfache Paket-Firewall nicht aus, man braucht
> Connection-Tracking dazu.
>
> Man kann versuchen, den "passive mode" zu benutzen, das muessen dann
> aber beide Seiten koennen.
Den passiven Modus kann der FTP-Server des Hosters, allerdings bin ich mir
nicht sicher, dass meine Router-Firewall damit etwas anfangen kann.
>
> > Zu ssh:
> > Du musst Port 22 freischalten.
> > Ich empfehle in /etc/ssh/sshd_config die Freigabe fuer Passwort-
> > Authentication zu verbieten und nur mit dsa-keys zu arbeiten,
> > die man durch eine Passphrase geschuetzt hat.
> > Der Nachteil ist dann allerdings, dass man dann kein
> > "ssh -l <other user> server" absetzen kann. Zumindest hat es
> > bei mir nicht geklappt.
>
> Dochdoch, das geht; es muss nur der oeffentliche Teil Deines keys in der
> authorized_keys des _anderen_ Benutzers sein.
>
> MfG, JBG
Dann werde ich meine Energie in SSH-Verbindungen zu meinem Hoster stecken.
Danke für die Tipps.
--
--------------
Viele Grüße,
Kai
--------------
Mehr Informationen über die Mailingliste linux-l